Que chiffre réellement BitLocker et quand ?

J’ai besoin d’un chiffrement complet du disque pour des ordinateurs portables professionnels exécutant une version actuelle de Windows 10 Pro. Les ordinateurs ont un disque SSD NVMe de Samsung et un processeur Intel Core i5-8000.

D’après mes recherches en ligne aujourd’hui, il n’existe actuellement que deux options disponibles : Microsoft BitLocker et VeraCrypt. Je suis pleinement conscient de la situation des logiciels open source et fermés et des implications en matière de sécurité qui en découlent.

Après avoir lu des informations sur BitLocker, que je n’avais jamais utilisé auparavant, j’ai l’impression qu’à partir de Windows 10, BitLocker ne chiffre que les données nouvellement écrites sur le disque mais pas tout ce qui existe déjà, pour des raisons de performance. (Cette documentation indique que j’ai le choix, mais ce n’est pas le cas. On ne m’a pas demandé ce que je voulais après l’activation.) J’ai utilisé le chiffrement système TrueCrypt par le passé et je sais que le chiffrement des données existantes est une tâche visible qui prend plusieurs heures. Je ne peux pas observer ce comportement avec BitLocker. Aucune activité CPU ou disque notable en arrière-plan.

Activer BitLocker est vraiment simple. Cliquer sur un bouton, sauvegarder la clé de récupération en lieu sûr, c’est fait. Le même processus avec VeraCrypt m’a fait abandonner l’idée. J’avais besoin de créer un véritable périphérique de récupération fonctionnel, même pour des tests sur un système jetable.

J’ai également lu que VeraCrypt a actuellement un défaut de conception qui rend certains SSD NVMe extrêmement lents avec le chiffrement système. Je ne peux pas le vérifier car la configuration est trop compliquée. Du moins, après avoir activé BitLocker, je ne constate pas de changement significatif des performances du disque. De plus, l’équipe VeraCrypt n’a pas suffisamment de ressources pour corriger ce « bug compliqué ». En outre, les mises à jour de Windows 10 ne peuvent pas fonctionner avec VeraCrypt en place, ce qui nécessite des déchiffrements et rechiffrements complets fréquents du disque. J’espère que BitLocker fonctionne mieux à cet égard.

Je suis donc presque décidé à utiliser BitLocker. Mais j’ai besoin de comprendre ce qu’il fait. Malheureusement, il n’y a presque aucune information détaillée à ce sujet en ligne. La plupart consiste en des articles de blog qui donnent un aperçu mais aucune information approfondie et concise. Je pose donc la question ici.

Après avoir activé BitLocker sur un système à disque unique, que se passe-t-il avec les données existantes ? Que se passe-t-il avec les nouvelles données ? Que signifie « suspendre BitLocker » ? (Ce n’est pas la même chose que le désactiver définitivement et ainsi déchiffrer toutes les données du disque.) Comment puis-je vérifier l’état du chiffrement ou forcer le chiffrement de toutes les données existantes ? (Je ne parle pas de l’espace inutilisé, cela m’est égal, et c’est nécessaire pour les SSD, voir TRIM.) Y a-t-il des données et actions plus détaillées concernant BitLocker autres que « suspendre » et « déchiffrer » ?

Et peut-être en aparté, quel est le rapport entre BitLocker et EFS (système de fichiers chiffré) ? Si seuls les fichiers nouvellement écrits sont chiffrés, EFS semble avoir un effet très similaire. Mais je sais comment utiliser EFS, c’est beaucoup plus compréhensible.

L’activation de BitLocker lance un processus en arrière-plan qui chiffre toutes les données existantes. (Sur les disques durs, c’est traditionnellement un processus long car il doit lire et réécrire chaque secteur de partition – sur les disques à chiffrement intégré, cela peut être instantané.) Donc, quand on dit que seules les données nouvellement écrites sont chiffrées, cela se réfère à l’état immédiatement après l’activation de BitLocker et n’est plus vrai une fois que la tâche de chiffrement en arrière-plan est terminée. L’état de ce processus peut être vu dans la même fenêtre du panneau de configuration BitLocker, et peut être mis en pause si nécessaire.

L’article de Microsoft doit être lu attentivement : il parle en réalité de ne chiffrer que les zones utilisées du disque. Ils présentent simplement cela comme ayant le plus grand impact sur les systèmes neufs, où vous n’avez aucune donnée encore à part le système d’exploitation de base (et donc toutes les données seront « nouvellement écrites »). C’est-à-dire que Windows 10 va chiffrer tous vos fichiers existants après l’activation – il ne perdra simplement pas de temps à chiffrer les secteurs du disque qui ne contiennent encore rien. (Vous pouvez désactiver cette optimisation via la Stratégie de groupe.)

(L’article souligne également un inconvénient : les zones qui contenaient auparavant des fichiers supprimés seront également ignorées comme « inutilisées ». Donc, si vous chiffrez un système bien utilisé, effectuez un nettoyage de l’espace libre avec un outil, puis laissez Windows exécuter TRIM si vous avez un SSD, le tout avant d’activer BitLocker. Ou utilisez la Stratégie de groupe pour désactiver ce comportement.)

Dans le même article, il est également mentionné que les versions récentes de Windows prennent en charge les SSD à chiffrement intégré utilisant le standard OPAL. Ainsi, la raison pour laquelle vous ne voyez pas d’activité E/S en arrière-plan pourrait être que le SSD était chiffré en interne depuis le premier jour, et BitLocker a reconnu cela et a seulement pris en charge la gestion des clés au niveau du SSD au lieu de dupliquer l’effort de chiffrement au niveau du système d’exploitation. C’est-à-dire que le SSD ne se déverrouille plus automatiquement au démarrage mais nécessite que Windows le fasse. Cela peut être désactivé via la Stratégie de groupe, si vous préférez que le système d’exploitation gère le chiffrement quoi qu’il en soit.

La suspension de BitLocker entraîne l’écriture d’une copie en clair de la clé « maître » directement sur le disque. (Habituellement, cette clé maître est d’abord chiffrée avec votre mot de passe ou avec un TPM.) Lorsqu’il est suspendu, cela permet au disque d’être déverrouillé de lui-même – clairement un état non sécurisé, mais cela permet à Windows Update de reprogrammer le TPM pour correspondre au système d’exploitation mis à jour, par exemple. La reprise de BitLocker efface simplement cette clé en clair du disque.

BitLocker n’est pas lié à EFS – ce dernier fonctionne au niveau des fichiers, en associant des clés aux comptes utilisateurs Windows (permettant une configuration fine mais rendant impossible le chiffrement des fichiers propres au système d’exploitation), tandis que le premier fonctionne au niveau du disque entier. Ils peuvent être utilisés ensemble, bien que BitLocker rende EFS largement redondant.

(Notez que tant BitLocker *qu’*EFS disposent de mécanismes permettant aux administrateurs Active Directory d’entreprise de récupérer les données chiffrées – que ce soit en sauvegardant la clé maître BitLocker dans AD, ou en ajoutant un agent de récupération de données EFS à tous les fichiers.)